[필수] CISCO 라우터 설정하기 - PPP, Access-list, NAT, IOS업그레이드 설정법

[미야오]

3장.  CISCO 라우터 설정하기

 

3.1.              PPP 일 경우

Router#config  t

Router(config)#int  e0

Router(config-if)#ip  address  200.2..65  255.255.255.248

Router(config-if)#no  shut

Router(config-if)#exit

203.239.36.65  가입자 게이트웨이IP ,  가입자 서브넷마스크

Router(config)#int  s0

Router(config-if)#description  #### game bang #####

Router(config-if)#ip  address  10.207.1.6  255.255.255.252

Router(config-if)# no  shut

Router(config-if)# encapsulation  ppp    ( or  HDLC)

Router(config-if)# bandwidth  56         ( 1544, 2048 )

Router(config-if)# exit

10.207.1.6 은 가입자 시리얼 ip   , 255.255.255.252  ISP서브넷

Router(config)#ip  route  0.0.0.0  0.0.0.0  10.207.1.5   => Default  Router 설정

Router(config)#default-value  exec-character-bits  8

Router(config)#ip  routing

Router(config)# ^Z     (Ctrl  + Z )

Router# wr

10.207.1.5  는 ISP쪽 시리얼 IP-Address

3.2.  Frame-Relay 설정 

interface Ethernet0

 ip address 200.2.1.2 255.255.255.248

!

interface Serial0

encapsulation frame-relay

frame-relay lmi-type ansi

interface Serial0.1 point-to-point

description #### test enc:fr ####

 ip address 10.248.2.250 255.255.255.252

 frame-relay interface-dlci 100

!

ip route 0.0.0.0 0.0.0.0 10.248.2.249

 ※ 주의)  설정후 1분정도 경과후 DLCI 가 ACTIVE된후 정상적으로 Ping이 됨.

3.3  Cisco라우터에 추가 명령어 설정.

3.3.1  라우터 로그인시 경고 메시지 뿌리기

(config)#banner motd $                                            

CONFIDENTIALITY NOTICE :  Not Permited User Disconnect Now!

$

3.3.2  라우터에 로그남기게 설정하기. (가본 logging buffer 4096 byte)

clock set <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /><?xml:namespace prefix = st1 /><?xml:namespace prefix = st1 /><?xml:namespace prefix = st1 />14:22:00 12 sep  2001
conf t
service timestamps log datetime localtime msec
service timestamps debug datetime localtime msec
logging buffered 16000
exit
sh ver
wr
sh log

3.3.3  NTP를 이용해 라우터 부팅시 시간 읽어오기. (Cisco 2501이상에서만 지원됨)

Router_A#conf t

Router_A(config)#clock  timezone KST 9

Router_A(config)#ntp server 211.115.194.21

Router_A(config)#^Z

Router_A#clock set 18:11:00 10 octo 2000

Router_A#wr

Time.bora.net => 203.248.240.103

3.3.4  라우터 로그 지우기

Router_A# clear  logging

3.3.5  라우터에 Telnet 접근할수 있는 IP 한정하기.

Router#conf t

Router(config)#access-list  12  permit  host  203.255.113.74

Router(config)#line vty 0 4

Router(config-line)#access-class 12 in

Router(config-line)#^Z

Router#wr

3.3.6  Username입력하고 라우터로 로그온하게 하기

Router (config)#username inet99 password inet999

Router (config)#line vty 0 1

Router (config-line)#login local

Router (config-line)#^Z

CCNA#wr

line vty 0 1  이면  2명만 login 가능합니다.

line vty 0 2  이면  3명만 login 가능합니다.

3.3.7  사용자 IP중 하나의 IP를 인터넷 안되게 하기.

Destnation에 대해 패킷이 전달되지 않게 함.

ip route 203.227.17.121 255.255.255.255  Null 0

3.4.  본사 ó  지사간의 네트웍 구성.

3.4.1.  지사- 본사 - ISP 의 경우 

1)       라우터 config

본사

interface Ethernet0

 ip address 210.109.165.241 255.255.255.240

!

interface Serial0

 ip address 10.207.1.6 255.255.255.252

!

interface Serial1

 ip address 10.10.10.1 255.255.255.252       // 지사쪽 연결

!

ip classless

ip route 0.0.0.0 0.0.0.0 10.207.1.5

ip route 203.239.36.64 255.255.255.248 10.10.10.2   // 지사쪽 사용IP블록

지사

interface Ethernet0

 ip address 203.239.36.65 255.255.255.248

!

interface Serial0

 ip address 10.10.10.2 255.255.255.252

!

ip classless      //서브네팅한  경우 반드시 써줘야 본사 PC IP까지 Ping이 된다.

ip route 0.0.0.0 0.0.0.0 10.10.10.1

3.5.  보안 설정하기  - Access-List

3.5.1.  네트웍 구성도

3.5.2.  보안 정책

외부사용자가 내부내트웍에 대해 접근을 차단하거나 내부사용자에 대해 불건전한 사이트에 대한 접속을 제한하는 등 여러 보안정책을 사용할 수 있습니다.

보안이 강조될수록 사용자가 이용할수 있는 인터넷서비스는 축소 또는 불편을 겪을수 있으므로 네트웍관리자는 네트웍환경을 면밀하게 분석하여 보안정책을 수립하는 것이 필요함.

주의) 라우터의 필터링을 하더라도 Session이 맺혀있는 것은 유지가 된다. 

라우터 사양이 낮으면 필터링설정시 Log를 남기지 말아야 하며 필터링을 많이 하면

CPU Process가 많이 올라가 문제가 될수 있다.

 3.5.3.  실 습

1)      외부에서 내부로 들어오는 백오리피스 포트 막기

Access-list 119 permit tcp any any established

Access-list 119 deny tcp any any eq 31337

Access-list 119 deny udp any any eq 31337

Access-list 119 permit ip any any

Interface Serial0

Ip access-group 119 in

2)      외부에서 내부로 공유폴더 access 안되게 하기

Access-list 119 permit tcp any any established

Access-list 119 deny udp any any eq netbios-ns

Access-list 119 deny udp any any eq netbios-dgm

Access-list 119 deny tcp any any eq 139

Access-list 119 permit ip any any

Interface Serial0

ip access-group 119 in

3)  외부에서 내부로의 최대 보안 설정  (내부에 서버가 있을 때)

Access-list 120 permit tcp any any established

access-list 120 permit tcp any host 203.231.170.129 eq domain

Access-list 120 permit udp any host 203.231.170.129 eq domain

Access-list 120 permit tcp any host 203.231.170.129 eq smtp

Access-list 120 permit tcp any host 203.231.170.129 eq pop3

Access-list 120 permit tcp any host 203.231.170.129 eq 80

Access-list 120 permit icmp any any

Access-list 120 permit tcp any any gt 1023

Access-list 120 permit udp any any gt 1023

Access-list 120 permit tcp 203.255.113.0 0.0.0.255 any eq telnet

Access-list 120 permit tcp 203.255.113.0 0.0.0.255 any eq smtp

Access-list 120 permit tcp any any eq ftp

Access-list 120 permit tcp any any eq ftp-data

3.6.  Network Address Translation (NAT)  Config

3.6.1.         사용 목적 

1) 내부 보안 및 IP 부족을 해결하기위함.

2) 비공인 IP 로 사용가능한 블록

10.0.0.0 ~10.255.255.255.255

172.16.0.0~172.31.255.255

192.168.0.0~192.168.255.255

3.6.2.         설정법

NAT-Router# sh run

Current configuration:

!

version 12.0

!

interface Ethernet0

 ip address 10.10.10.254 255.255.255.0   // 내부에서 사용할 비공인 IP 블록

 no ip directed-broadcast

 ip nat inside

!

interface Serial0

ip address 10.207.1.6 255.255.255.252   // 고객사 시리얼IP, ISP서브넷마스크

ip nat outside

!

ip nat pool ses 203.239.36.67 203.239.36.70 netmask 255.255.255.248 

       // 공인IP pool 생성함(67번~70번),  서버에서 사용할 IP는 제외시킴.

Ip nat inside source list 1 pool  ses  overload    // PAT

       //IP Pool에 Accesslist를 적용시킴.

Ip nat inside source static 10.10.10.1 203.239.36.66  

       // 비공인 1번을 공인 66과 매핑.

Ip route 0.0.0.0 0.0.0.0 10.207.1.5   // Default Routing

!

access-list 1 permit 10.10.10.0 0.0.0.255  // 10.10.10.X 대 ip 만 라우팅 하도록함.

3.6.3.   NAT  관련 명령어들

sh ip nat translations

sh ip nat translations verbose  (접속 시간확인하기)

show ip nat statistics

debug ip nat  detail

clear ip nat trans *

3.6.4.  NAT 사용중 설정을 변경해야하는 경우 방법 2가지

1) 이더넷에 ip nat inside를 제거후 # clear  ip nat  trans  *

2) 이더넷을 셧다운 시키고 # clear  ip nat trans  *

Router# config t

Router(config)# int e0

Router(config-if)#no ip nat  inside   (or  shut)   (이더넷에 NAT를 내림.)

Router(config-if)#^Z

Router#clear ip nat translation *    (NAT를 Clear 해야 한다.)

Router#config t

Router(config)#no ip nat inside source list 1 pool ses

Router(config)#ip nat inside source list 1 pool ses overload

Router(config-if)#^Z

3.6.5.  라우터 기종별 NAT 지원  (12.0 이상 필수 )

라우터 기종	IOS	Flash	DRAM
Cisco 1005	c1005-y2-mz.120-2a.T1.bin (비정식버전)  OSPF도 지원	사양이 낮아 일반적으로 지원안함.
Cisco 1600	c1600-sy-l.120-3.bin
Cisco 1720	C1720	4M	16M
Cisco 2501	C2500	8M	16M

3.7.  HSRP 로 내부  백업 설정하기

조건 - Cisco 라우터 2대로 사용.  한 회선은 다운되었을때만 사용됨.

Router_A#

interface FastEthernet0

 ip address 1.0.0.1 255.0.0.0

 standby 1 preempt

 standby 1 priority 110  (숫자 큰게 우선한다)  큰숫자가 우선임. A로 감.

 standby 1 ip 1.0.0.3  (PC의 게이트 웨이)

 standby 1 timers 5 15

 standby 1 track Se0

Router_B#

interface FastEthernet0

 ip address 1.0.0.2 255.0.0.0

 standby 1 preempt

 standby 1 ip 1.0.0.3 (PC의 게이트 웨이)

standby 1 timers 5 15

 standby 1 track Se0

2. 백업상태 확인하기

Router_A#sh standby

FastEthernet0 - Group 1

  Local state is Active, priority 110, may preempt

  Hellotime 3 holdtime 10

  Next hello sent in 00:00:00.260

  Hot standby IP address is 1.0.0.3 configured

  Active router is local

  Standby router is 1.0.0.2 expires in 00:00:08

  Standby virtual mac address is 0000.0c07.ac01

  13 state changes, last state change 00:38:25

3.8.  IOS업그레이드

3.8.1. 준비해야 할것들.

하드웨어	Cisco  Consol Cable ,   Cross  Cable   or  1대1 Cable
소프트웨어	CISCO IOS ,  TFTP Server ,  Netterm

3.8.2.  노트북이나 PC에  프로그램 받아서 설치하기.

C: 드라이브에 ios 디렉토리를  만듭니다.

TFTP Server (TFTPServer-1-980730.exe ) 와 IOS 파일( c10-112.bin(Cisco1005-11.2버전), c20-111.bin(Cisco2500-11.1버전)을 받습니다.

3.8.3.  TFTP Server 프로그램을 설치합니다.

Cisco TFTP Server  실행 한후

View => Options => TFTP Server Root  의  Brower 를 클릭합니다.

C:\ IOS 를 선택후 OK 를 누르고 기다립니다.

3.8.4.         라우터에 콘솔케이블을 연결합니다. 

1)       Local인 경우

Cisco 라우터에 Console을 연결합니다.  PC는 Com1 Port에 연결합니다.

(1) 하이퍼 터미널이나 넷텀으로 콘솔 붙이기

 하이퍼 터미널, 넷텀

시작-프로그램-보조프로그램-통신 부분에서 하이퍼터미날 실행시킴.

없으면 Windows CD를 넣고 다음과 같이 설치한다.

시작-제어판-프로그램추가/제거- Windows 설치- 통신- 하이퍼터미널부분을 체크- 확인.

Hyper Terminal 설치하거나 없으면 넷텀을 받아 설치합니다.

2)  원격으로 CISCO IOS Upgrade가 가능합니다만 권장하지 않습니다.

3.8.5.  라우터의 IOS 버전을 확인합니다.

Router# sh  ver

IOS (tm) 2500 Software (C2500-JS-L), Version 11.2(15), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1998 by cisco Systems, Inc.

:

32K bytes of non-volatile configuration memory.

8192K bytes of processor board System flash (Read ONLY)

Configuration register is 0x2102

 3.8.6. TFTP 로부터 FLASH Memory 로 Cisco IOS를 Upload 합니다.

Cross Cable을 PC와 라우터 Ethernet Port 에 연결합니다.

(혹은, 1대1케이블을 허브에 연결합니다.)

PC의 네트웍 설정은 라우터와 같은 네트웍이어야 합니다.

3.8.7.  TFTP를 이용하여 IOS 파일을 FLASH Memory 로 Upload 합니다.

#  copy   tftp   flash     <Enter>

Address or name of remote host [203.255.113.37]? 

       (TFTP Server 가 Install 되어 있는 PC의 IP를 입력합니다. )

Source filename [c10-112.bin] ?

             (C:\ios 디렉토리에 있는 IOS File 이름을 입력합니다.)

Destination filename [c10-112.bin] ?

             (C:\ios 디렉토리에 있는 IOS File 이름을 입력합니다.)

Accessing tftp://203.255.113.37/c10-112.bin...

Erase flash: before copying? [confirm‎] <Enter>

Erasing the flash filesystem will remove all files! Continue? [confirm‎] <Enter>

Erasing device... eeeeeeeeeeeeeeee ...erased

Erase of flash: complete

Loading c10-112.bin from 203.255.113.37 (via Ethernet0): !!!!!!!!!!!!!!

3.8.8.  저장 및 재부팅 -  제대로 IOS가  Flash Memory 로 제대로 다 올라가면 

 CISCO 1005 경우는  # wr <enter> ,  # reload  <Enter> 하시면 부팅됩니다.

 CISCO 2500 경우는 라우터가 자동으로 리부팅합니다.

 부팅후 # wr <Enter> 하시면 됩니다.

기타) Cisco 7000 계열에서  copy tftp flash 시  공간부족메시지나 나오면

Format slot0:한후 copy tftp slot0: 하여 업그레이드 하면 된다.

3.9.  Router Enable Password 복구

- Cisoc 1xxx /2xxx /3xxx 인 경우

1. 콘솔 붙임 => 전원 껐다킴.

System Bootstrap, Version 5.3.2(9) [vatran 9], RELEASE SOFTWARE (fc1)

Copyright (c) 1994 by cisco Systems, Inc.

C1000 processor with 8192 Kbytes of main memory

2. 다른 모드로 들어간다.

하이퍼터미널일 경우 => Control + Break 키

넷텀의경우 => Edit메뉴의  Send Short/Long Break

monitor: command "boot" aborted due to user interrupt

- Cisoc 1005 / 1600 / 1720 인 경우

rommon 1 > confreg 0x42 

You must reset or power cycle for new config to take effect

Rommon 2 >  reset

- Cisco 2500 이상

Ø       o/r 0x42 

Ø       I

3. 초기 콘피그 모드를 n (No) 한다. (만약 y했다면 ^C 로 취소한다.)

Would you like to enter the initial configuration dialog? [yes/no]: n

Press RETURN to get started!

4. 예전 Configuration 복구와 저장.

Router# copy  startup-config  running-config

Destination filename [running-config]?

505 bytes copied in 2.536 secs (252 bytes/sec)

Router# wr

Building configuration...

5. passwd 복구, 모드를 원상태 복구함.

Router# config t

Router(config)# enable secret Router

Router(config)# config-register 0x2102

Router(config)# exit

Router# wr

Router# reload

Proceed with reload? [confirm‎]  <Enter>

6. enable passwd 복구가 되었는지  확인함.

7. 정상적으로 업그레이드 되었는지 버전을 확인함.

Router> sh ver

Configuration register is 0x2102

8. 설정화일  정상임을  확인함.

Router# sh configuration